Tapausten priorisointi Microsoft Defender -portaalissa
Microsoft Defender -portaalin yhdistetty suojaustoimintojen ympäristö käyttää korrelaatioanalytiikkaa ja kokoaa siihen liittyvät hälytykset ja automatisoidut tutkimukset eri tuotteista tapauksiin. Microsoft Sentinel ja Defender XDR käynnistävät myös ainutlaatuisia hälytyksiä toiminnoista, jotka voidaan tunnistaa haitallisiksi vain, kun otetaan huomioon yhdistetyn ympäristön päästä päähän -näkyvyys koko tuoteohjelmistossa. Tämä näkymä antaa tietoturva-analyytikoillesi laajemman hyökkäystarinan, joka auttaa heitä ymmärtämään ja käsittelemään monimutkaisia uhkia organisaatiossasi.
Tärkeää
Microsoft Sentinel on nyt yleisesti saatavilla Microsoft unified security operations -ympäristössä Microsoft Defender -portaalissa. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.
Tapausjono
Tapausjono näyttää kokoelman tapauksia, jotka on luotu eri laitteissa, käyttäjissä, postilaatikoissa ja muissa resursseissa. Se auttaa tapausten lajittelussa priorisoimaan ja luomaan tietoon perustuvan kyberturvallisuusvastauspäätöksen, jota kutsutaan tapauskolmikoksi.
Voit siirtyä tapausjonoon kohdasta Tapaukset & hälytyksiä > TapauksetMicrosoft Defender -portaalin pikakäynnistyksessä. Tässä on esimerkki.
Valitse Uusimmat tapaukset ja hälytykset , jos haluat vaihtaa yläosan laajennuksen, joka näyttää aikajanakaavion vastaanotettujen ilmoitusten ja viimeisten 24 tunnin aikana luotujen tapausten määrästä.
Tämän alla Microsoft Defender -portaalin tapausjono näyttää tapahtumat, jotka on nähty viimeisen puolen vuoden aikana. Voit valita eri aikavälin valitsemalla sen yläreunan avattavasta valikosta. Tapaukset järjestetään viimeisimpien automaattisten tai manuaalisten tapahtumien mukaan. Voit järjestää tapaukset viimeisimmän päivityksen aikasarakkeen mukaan, jotta voit tarkastella tapauksia uusimpien automaattisten tai manuaalisten päivitysten mukaan.
Tapausjonossa on mukautettavia sarakkeita, jotka antavat sinulle näkyvyyden tapahtuman eri ominaisuuksiin tai niihin entiteetteihin, joihin ongelma vaikuttaa. Tämän suodattimen avulla voit tehdä tietoon perustuvan päätöksen tapausten priorisoinnista analyysia varten. Valitse Mukauta sarakkeita , jos haluat suorittaa seuraavat mukautukset haluamasi näkymän perusteella:
- Valitse sarake, jonka haluat nähdä tapausjonossa, tai poista valinta.
- Järjestä sarakkeiden järjestys vetämällä niitä.
Tapausten nimet
Jos haluat nähdä enemmän yhdellä silmäyksellä, Microsoft Defender XDR luo tapausten nimet automaattisesti hälytysmääritteiden, kuten niiden päätepisteiden määrän, joita asia koskee, tunnistuslähteiden tai luokkien perusteella. Tämän tietyn nimeämisen avulla voit nopeasti ymmärtää tapahtuman laajuuden.
Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.
Jos olet lisännyt Microsoft Sentinelin yhtenäiseen suojaustoimintojen ympäristöön, Microsoft Sentinelistä tulevien ilmoitusten ja tapausten nimet todennäköisesti muutetaan (riippumatta siitä, luotiinko ne ennen perehdytystä vai sen jälkeen).
Suosittelemme välttämään tapauksen nimen käyttämistä automaatiosääntöjen käynnistämisen ehtona. Jos tapauksen nimi on ehto ja tapahtuman nimi muuttuu, sääntöä ei käynnistetä.
Suodattimet
Tapahtumajono tarjoaa myös useita suodatusvaihtoehtoja, joiden avulla voit käyttöön otettaessa kerätä laajat tiedot kaikista ympäristössäsi olevista tapauksista tai päättää keskittyä tiettyyn skenaarioon tai uhkaan. Suodattimien käyttäminen tapausjonossa voi auttaa selvittämään, mikä tapaus edellyttää välitöntä huomiota.
Suodatinluettelon yläpuolella olevassa Suodattimet-luettelossa näkyvät käytössä olevat suodattimet.
Voit valita oletustapausjonosta Lisää suodatin , jolloin näkyviin tulee avattava Lisää suodatin -valikko, josta voit määrittää tapahtumajonoon sovellettavat suodattimet, jotka rajoittavat näytettävien tapausten joukkoa. Tässä on esimerkki.
Valitse käytettävät suodattimet ja valitse sitten luettelon alareunasta Lisää , jotta ne ovat käytettävissä.
Nyt valitsemasi suodattimet näkyvät yhdessä aiemmin käytettyjen suodattimien kanssa. Valitse uusi suodatin ja määritä sen ehdot. Jos valitset esimerkiksi Palvelu/tunnistamislähteet -suodattimen, valitse se ja valitse lähteet, joiden mukaan luettelo suodatetaan.
Näet myös Suodatin-ruudun valitsemalla minkä tahansa suodattimet Suodattimet-luettelosta , joka on tapahtumien luettelon yläpuolella.
Tässä taulukossa on luettelo käytettävissä olevista suodattimien nimistä.
| Suodattimen nimi | Kuvaus/ehdot |
|---|---|
| Tila | Valitse Uusi, Käynnissä tai Ratkaistu. |
|
Ilmoituksen vakavuus Tapauksen vakavuus |
Hälytyksen tai tapauksen vakavuus on osoitus sen vaikutuksesta varoihisi. Mitä suurempi vakavuus, sitä suurempi vaikutus ja yleensä se vaatii välittömintä huomiota. Valitse Suuri, Normaali, Pieni tai Tiedot. |
| Tapausmääritys | Valitse määritetty käyttäjä tai käyttäjät. |
| Useita palvelulähteitä | Määritä, onko suodatin useammalle kuin yhdelle palvelulähteelle. |
| Palvelun/tunnistuksen lähteet | Määritä tapaukset, jotka sisältävät ilmoituksia vähintään yhdestä seuraavista: Monet näistä palveluista voidaan laajentaa valikossa paljastamaan lisää tunnistuslähteiden valintoja tietyssä palvelussa. |
| Tunnisteet | Valitse luettelosta yksi tai useita tunnisteen nimiä. |
| Useita luokkiin | Määritä, onko suodatin useammalle kuin yhdelle luokalle. |
| Luokat | Valitse luokat, jotka keskittyvät tiettyihin taktiikoihin, tekniikoihin tai hyökkäyskomponentteihin. |
| Yhteisöt | Määritä resurssin nimi, kuten käyttäjä, laite, postilaatikko tai sovelluksen nimi. |
| Tietojen luottamuksellisuus | Joissakin hyökkäyksissä keskitytään arkaluonteisten tai arvokkaiden tietojen suodattamiseen. Käyttämällä suodatinta tietyille luottamuksellisuustunnisteille voit nopeasti selvittää, onko arkaluontoisia tietoja mahdollisesti vaarantunut, ja priorisoida näiden tapausten käsittelemisen. Tämä suodatin näyttää tiedot vain, kun olet käyttänyt Microsoft Purview Information Protectionin luottamuksellisuustunnisteita. |
| Laiteryhmät | Määritä laiteryhmän nimi. |
| Käyttöjärjestelmän ympäristö | Määritä laitteen käyttöjärjestelmät. |
| Luokitus | Määritä liittyvien ilmoitusten luokitusjoukko. |
| Automaattisen tutkinnan tila | Määritä automatisoidun tutkimuksen tila. |
| Liittyvä uhka | Määritä nimetty uhka. |
| Ilmoituskäytännöt | Määritä ilmoituskäytännön otsikko. |
| Ilmoitusten tilaustunnukset | Määritä tilaustunnukseen perustuva ilmoitus. |
Oletussuodattimena on näyttää kaikki ilmoitukset ja tapaukset, joiden tila on Uusi ja Käynnissä ja joiden vakavuus on Suuri, Normaali tai Pieni.
Voit poistaa suodattimen nopeasti valitsemalla X suodattimen nimestä Suodattimet-luettelosta .
Voit myös luoda suodatinjoukkoja tapahtumat-sivulla valitsemalla Tallennetut suodatinkyselyt > Luo suodatinjoukko. Jos suodatinjoukkoja ei ole luotu, luo sellainen valitsemalla Tallenna .
Huomautus
Microsoft Defenderin XDR-asiakkaat voivat nyt suodattaa tapauksia hälytyksillä, joissa vaarantunut laite on yhteydessä käyttötekniikkalaitteisiin (OT), jotka on yhdistetty yritysverkkoon Microsoft Defender for IoT:n ja Microsoft Defender for Endpointin laiteetsintäintegroinnin kautta. Jos haluat suodattaa nämä tapaukset, valitse Mikä tahansa Palvelun/tunnistuksen lähteistä, valitse sitten Microsoft Defender IoT:lle Tuotteen nimestä tai katso Tapausten ja hälytysten tutkiminen Microsoft Defenderin IoT:ssä Defender-portaalissa. Laiteryhmien avulla voit myös suodattaa sivustokohtaisia ilmoituksia. Lisätietoja Defender for IoT-edellytyksistä on artikkelissa Yrityksen IoT-valvonnan aloittaminen Microsoft Defender XDR:ssä.
Mukautettujen suodattimien tallentaminen URL-osoitteina
Kun olet määrittänyt hyödyllisen suodattimen tapahtumat-jonossa, voit lisätä selaimen välilehden URL-osoitteen kirjanmerkkeihin tai muuten tallentaa sen linkkinä verkkosivulle, Word-asiakirjaan tai haluamaasi paikkaan. Kirjanmerkkien avulla voit käyttää tapahtumajonon avainnäkymiä yhdellä napsautuksella, kuten:
- Uudet tapaukset
- Suuren vakavuusasteen tapaukset
- Määrittämättömät tapaukset
- Suuren vakavuusasteen, määrittämättömät tapaukset
- Minulle osoitetut tapaukset
- Minulle ja Microsoft Defender for Endpointille määritetyt tapaukset
- Tapaukset, joilla on tietty tunniste tai tunniste
- Tapaukset, joilla on tietty uhkaluokka
- Tapaukset, joihin liittyy erityinen uhka
- Tapaukset, joissa on tietty toimija
Kun olet kääntänyt ja tallentanut hyödyllisten suodatinnäkymien luettelon URL-osoitteina, voit sen avulla käsitellä ja priorisoida jonon tapahtumat nopeasti ja hallita niitä myöhempää määritystä ja analyysia varten.
Etsiä
Etsi nimeä tai tunnusta -ruudusta, joka on tapahtumien luettelon yläpuolella, voit etsiä tapauksia useilla tavoilla, jotta löydät nopeasti etsimäsi.
Hae tapauksen nimen tai tunnuksen mukaan
Voit etsiä tapahtumaa suoraan kirjoittamalla tapahtuman tunnuksen tai tapauksen nimen. Kun valitset tapahtuman hakutulosluettelosta, Microsoft Defender -portaali avaa tapahtuman ominaisuudet sisältävän uuden välilehden, josta voit aloittaa tutkimuksesi.
Hae vaikutusperusteena jätetyt resurssit
Voit nimetä resurssin, kuten käyttäjän, laitteen, postilaatikon, sovelluksen nimen tai pilviresurssin, ja etsiä kaikki kyseiseen resurssiin liittyvät tapaukset.
Määritä aika-alue
Oletusarvoinen luettelo tapauksista on viimeisen puolen vuoden aikana tapahtuneet tapaukset. Voit määrittää uuden aika-alueen kalenterikuvakkeen vieressä olevasta avattavasta ruudusta valitsemalla:
- Yksi päivä
- Kolme päivää
- Yksi viikko
- 30 päivää
- 30 päivää
- Kuusi kuukautta
- Mukautettu alue, jossa voit määrittää sekä päivämäärät että kellonajat
Seuraavat vaiheet
Kun olet määrittänyt, mikä tapaus vaatii korkeimman prioriteetin, valitse se ja:
- Hallitse tapahtuman ominaisuuksia tunnisteille, tehtävämääritykselle, positiivisten tapausten välittömälle ratkaisulle ja kommenteille.
- Aloita tutkimukset.
Tutustu myös seuraaviin ohjeartikkeleihin:
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.